5. DevSecOps在云网融合环境下的实践 - 电信研究院游耀东（16页）.pdf

1、DevSecOpsDevSecOps在云网融合环境下的实践在云网融合环境下的实践演讲人：游耀东演讲时间：2021.07.21目录C o n t e n t s云网融合1DevOps平台云道2云网融合下DevSecOps的挑战3DevSecOps实践经验5云道DevSecOps规模与应用4DevSecOps的思考和未来方向6自我介绍游耀东中国电信研究院-上海移动互联网系统与应用安全国家工程实验室中国电信DevOps平台-云道 安全审计负责人CISSP/CISA/ISO27001LA/CISP/PMP/CDPSE云网融合云网融合01云网融合IT与CT融合的新阶段新型信息基础设施底座赋能数字转型的基

2、础底座有效利用资源降低内部成本提升效率机遇机遇定位定位云网服务提供效率低云网安全保障挑战大特征特征一体化供给一体化运营一体化服务现状挑战现状挑战网是基础，云为核心，网随云动，云网一体网是基础，云为核心，网随云动，云网一体-中国电信云网融合白皮书中国电信云网融合白皮书DevOps平台云道平台云道02DevOps平台云道云道是生产云应用的企业级集成开发平台，提供研发运营一体化全生命周期管理工具和资源，为应用上云提供端到端支持。项目视图项目库版本视图版本库配置视图配置库源码视图源码库测试人员工程管理人员监控视图AD/LDAP运维人员开发人员合作伙伴上线审计开发部署交维资源测试工作量工程需求运维资源即

3、开即通代码审计自动测试一键发布敏捷开发自动部署安全检测统一配置持续改进后评估CI/CD环节构建、部署、测试自动化交维交资自动化软件资产数字化需求管控精细化工作量预估科学化云道平台是什么云道平台是什么云道平台作用云道平台作用是是DevOpsDevOps理念在中国电信系统上云的落地产品化平台理念在中国电信系统上云的落地产品化平台全国集约的软件工程、需求实现过程的生产/管理平台为全网项目管理、测试、版本发布、配置管理提供手段工具建立软件生产自动化流水线，提升业务交付速度，提高软件质量和安全实现软件从传统线下瀑布式模式到敏捷开发运营一体化的数字化转型为开发团队提供研发云平台，固化应用开发需要的规范、框

4、架、公共库，降低应用开发难度和工作量，复用已有软件资源。云网融合下云网融合下DevSecOps的挑战的挑战03云网融合下DevSecOps的挑战DevOps+Security安全职责安全左移自动化流程快速迭代全生命周期安全人员能力人员能力Theme color makes PPT more convenient to change.安全人员水平参差不齐开发人员缺乏安全意识技术规模技术规模系统种类，IT技术栈繁多资产总量巨大技术债务不一致开源软件安全隐患大效率速度效率速度安全检测严重影响开发效率漏洞缺陷分析耗费大量人力推广实施推广实施安全规则/要求多投入大，见效慢安全推广有阻力云道云道DevSe

5、cOps规模与应用规模与应用04云道DevSecOps 规模与应用01代码代码20 20 亿亿+行代码行代码系统系统3000+3000+部署包部署包90000+90000+02用户用户4000+4000+3131省分公司省分公司130+130+合作伙伴合作伙伴03SAST+SCA+DAST+IASTSAST+SCA+DAST+IAST威胁建模威胁建模+RASP+RASP多引擎融合多引擎融合04传统传统SQLSQL注入注入 XSSXSS较多较多开源软件漏洞频繁开源软件漏洞频繁镜像安全问题突出镜像安全问题突出05内嵌安全检测，及早发现问题内嵌安全检测，及早发现问题安全质量统一管控，风险可视化安全质

6、量统一管控，风险可视化DevSecOps实践经验实践经验05DevSecOps 实践经验核心目标核心目标业务为先效果优先速度优先性能重点优化性能重点优化SAST:减少优化规则集/增量扫描存量、新增系统采用不同扫描策略推荐使用IAST进行检测准备配套工具准备配套工具/环境环境自动化测试/部署环境(跨资源池)定制化改造工具/检测规则自定义资产/工单/质量管理/度量系统联动及时反馈及时反馈优先关注并自动化现网亟需的风险定期关注质量变化，调整策略业务为先.加强培训交流加强培训交流安全